Cisco ASA - várias sub-redes públicas

3

Eu tenho um Cisco ASA 5520 existente configurado com uma sub-rede / 28 na interface externa. Meu provedor de hospedagem acabou de me fornecer uma nova sub-rede não adjacente / 28 que é roteada para a interface externa no meu ASA.

Aqui está a configuração IP atual

    1.1.1.145             --> ISP Gateway
    1.1.1.146             --> ISP Reserved
    1.1.1.147             --> ISP Reserved
    1.1.1.148             --> Primary ASA Outside Int
    1.1.1.149             --> Secondary ASA Outside Int
    1.1.1.150 - 1.1.1.158 --> Usable IPs

    2.2.2.240 - 2.2.2.254 --> New Subnet, Routed to 1.1.1.148

Eu tentei criar um NAT no ASA usando o IP 2.2.2.240, mas isso não parece funcionar. Pelo que eu entendo, posso precisar adicionar uma rota no ASA, mas não tenho certeza do que devo adicionar.

Deveria ser algo como

     route Outside 2.2.2.240 255.255.255.240 1.1.1.148 1
    
por ScottAdair 08.03.2012 / 16:33

4 respostas

2

Se eles estão roteando a sub-rede para você (para um endereço na antiga sub-rede de propriedade do ASA), tudo o que você precisará fazer é NAT; seu ASA não "possui" um dos endereços para sua própria interface. O roteamento do tráfego de entrada ocorre após o NAT, e o roteamento do tráfego de saída será capturado pela rota padrão.

Apenas o NAT deve funcionar bem, então algo está errado com essa parte da configuração; você pode fornecer essa configuração, e talvez também packet-tracer output para uma conexão simulada de fora para um endereço no novo intervalo?

    
por 08.03.2012 / 18:49
1

Como Shane disse: tudo que você deve fazer é adicionar uma regra de NAT que use um dos novos IPs e uma ACL correspondente. Deve apenas funcionar depois disso.

Mas gostaria de saber se o seu provedor direciona os dois blocos de maneira diferente. A rota para 1.1.1.x provavelmente especifica apenas a interface de saída, enquanto a rota para 2.2.2.x, como você descreve, usa um IP de gateway (seu firewall). Se for esse o caso, você realmente tem uma pequena diferença entre os dois blocos. Pergunte ao seu provedor sobre isso e diga-lhes para rotear os IPs 2.2.2.x da mesma maneira que eles fazem 1.1.1.x. É realmente desnecessário que eles façam o roteamento para um IP de gateway e possam quebrar coisas se você decidir alterar o endereço IP externo do seu firewall.

Se isso não ajudar, analise de perto o seu NAT e ACLs. E não se esqueça de que você pode fazer facilmente a captura de pacotes com o ASDM - que lhe dará a resposta definitiva se o tráfego chegará ou não ao firewall.

    
por 13.03.2012 / 05:43
0

O problema é que ambas as redes na interface externa exigirão um gateway padrão. Se você deseja rotear o tráfego entre essas duas redes públicas sem envolver o firewall, você precisará adicionar rotas explícitas para cada uma delas.

O que é essa sub-rede 2.2.2 conectada? Obviamente, também tem uma conexão com a internet, desde que você não especifique que é roteado para o 1.1.1. gateway padrão.

    
por 08.03.2012 / 16:38
0

Eu colocaria a sub-rede 2.2.2.240 em uma DMZ e faria a interface de firewall .241. Não se preocupe em aplicar um IP de reserva, pois eles são usados apenas para gerenciar o firewall secundário.

    
por 08.03.2012 / 16:51